DSGVO-Bußgelder: Die teuersten Strafen und wie du sie vermeidest
Die Top 10 der höchsten DSGVO-Bußgelder in Europa, häufigste Gründe für Strafen und wie KMU sich vor Abmahnungen und Bußgeldern schützen.
Seit dem Inkrafttreten der DSGVO im Mai 2018 haben europäische Datenschutzbehörden Bußgelder in Milliardenhöhe verhängt. Allein 2024 und 2025 gab es mehrere Rekordstrafen, die zeigen: Die Aufsichtsbehörden machen Ernst. Dieser Artikel analysiert die teuersten Bußgelder, erklärt die häufigsten Gründe und zeigt dir, wie du dein Unternehmen konkret schützen kannst.
Die Top 10 der höchsten DSGVO-Bußgelder
Die folgende Tabelle zeigt die bisher höchsten verhängten Bußgelder in Europa. Sie verdeutlichen, dass vor allem Tech-Konzerne im Fokus stehen — aber auch mittelständische Unternehmen sind zunehmend betroffen.
| Rang | Unternehmen | Betrag | Jahr | Behörde | Grund |
|---|---|---|---|---|---|
| 1 | Meta (Facebook) | 1,2 Mrd. EUR | 2023 | IE DPC | Datenübermittlung in die USA ohne Rechtsgrundlage |
| 2 | Amazon | 746 Mio. EUR | 2021 | LU CNPD | Tracking und Targeting ohne gültige Einwilligung |
| 3 | Meta (Instagram) | 405 Mio. EUR | 2022 | IE DPC | Verarbeitung von Kinderdaten |
| 4 | Meta (WhatsApp) | 225 Mio. EUR | 2021 | IE DPC | Mangelnde Transparenz bei Datenverarbeitung |
| 5 | Google LLC | 150 Mio. EUR | 2022 | FR CNIL | Cookie-Banner ohne echte Ablehnungsoption |
| 6 | TikTok | 345 Mio. EUR | 2023 | IE DPC | Mangelnder Schutz von Kinderdaten |
| 7 | Criteo | 40 Mio. EUR | 2023 | FR CNIL | Einwilligungslose Datenverarbeitung für Werbezwecke |
| 8 | Clearview AI | 20 Mio. EUR | 2022 | IT GPDP | Biometrische Datenerhebung ohne Rechtsgrundlage |
| 9 | H&M | 35 Mio. EUR | 2020 | DE HmbBfDI | Mitarbeiterüberwachung |
| 10 | British Airways | 22 Mio. EUR | 2020 | UK ICO | Datenpanne durch mangelnde Sicherheitsmaßnahmen |
Auffällig: Die höchsten Strafen betreffen fast immer dieselben Themen — fehlende Rechtsgrundlage, mangelnde Transparenz und unzureichende technische Maßnahmen. Das sind genau die Bereiche, die auch für kleinere Unternehmen und Website-Betreiber relevant sind.
Die häufigsten Gründe für DSGVO-Bußgelder
Nicht jeder Verstoß führt gleich zu Millionenstrafen. Aber bestimmte Muster tauchen immer wieder auf.
1. Fehlende oder unwirksame Einwilligung
Der mit Abstand häufigste Grund für Bußgelder ist die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage. Konkret betrifft das:
- Cookie-Banner ohne echte Wahl: Wenn der “Alle akzeptieren”-Button prominent ist, aber die Ablehnung erst nach mehreren Klicks möglich ist, gilt die Einwilligung als nicht freiwillig.
- Vorausgewählte Checkboxen: Vorausgewählte Zustimmungen sind laut EuGH (Planet49-Urteil) unwirksam.
- Tracking vor Consent: Scripts, die vor der Einwilligung laden, verletzen die DSGVO und die ePrivacy-Richtlinie.
- Fehlende Widerrufsmöglichkeit: Der Widerruf muss genauso einfach sein wie die Einwilligung.
2. Mangelnde Transparenz
Art. 13 und 14 DSGVO verlangen umfassende Informationspflichten. Typische Verstöße:
- Unvollständige Datenschutzerklärung (fehlende Dienste, keine Speicherdauern)
- Kein Hinweis auf Drittlandtransfer trotz Einsatz von US-Diensten
- Unklare oder zu allgemeine Formulierungen zu Verarbeitungszwecken
- Fehlender Hinweis auf Betroffenenrechte
3. Unzureichende technische und organisatorische Maßnahmen (TOM)
Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen. Bußgelder werden verhängt bei:
- Fehlender SSL/TLS-Verschlüsselung
- Veralteter Software mit bekannten Sicherheitslücken
- Fehlendem Zugriffsmanagement (zu viele Mitarbeiter mit Admin-Rechten)
- Unzureichendem Passwortschutz (keine Mindestanforderungen)
- Fehlendem Logging und Monitoring von Datenzugriffen
4. Datenübermittlung in Drittländer
Seit dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen rechtswidrig. Das EU-US Data Privacy Framework (DPF) bietet seit 2023 zwar eine neue Grundlage, aber:
- Nicht alle US-Unternehmen sind DPF-zertifiziert
- Der EuGH könnte das DPF erneut kippen (Schrems III)
- Viele Dienste übertragen Daten auch an Subprocessoren in anderen Drittländern
5. Verletzung von Betroffenenrechten
Wenn Unternehmen Auskunftsanfragen (Art. 15) nicht fristgerecht beantworten oder Löschanfragen (Art. 17) ignorieren, drohen Bußgelder. Die Frist beträgt einen Monat.
So berechnen Aufsichtsbehörden Bußgelder nach Art. 83
Die DSGVO gibt in Art. 83 einen klaren Rahmen vor:
| Verstoßkategorie | Maximales Bußgeld |
|---|---|
| Verstöße gegen Art. 8, 11, 25-39, 42, 43 (z.B. fehlende TOM, kein DSB bestellt) | bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes |
| Verstöße gegen Art. 5-7, 9, 12-22, 44-49 (z.B. fehlende Rechtsgrundlage, Transparenzpflichten, Drittlandtransfer) | bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes |
Bemessungskriterien nach Art. 83 Abs. 2:
- Art, Schwere und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- Maßnahmen zur Minderung des Schadens
- Grad der Verantwortlichkeit (technische und organisatorische Maßnahmen)
- Frühere Verstöße
- Kooperationsbereitschaft mit der Aufsichtsbehörde
- Art der betroffenen personenbezogenen Daten
- Ob der Verstoß gemeldet wurde oder durch eine Prüfung entdeckt wurde
Das DSK-Bußgeldmodell
Die deutschen Aufsichtsbehörden verwenden seit 2019 ein einheitliches Bußgeldmodell der Datenschutzkonferenz (DSK). Es basiert auf dem Jahresumsatz des Unternehmens und berechnet das Bußgeld in mehreren Schritten:
- Zuordnung zu einer Größenklasse nach Jahresumsatz
- Bestimmung des Grundwerts (Tagessatz basierend auf Umsatz)
- Multiplikation mit Schweregrad (leicht, mittel, schwer, sehr schwer)
- Anpassung nach Tatumständen (mildernde und erschwerende Faktoren)
Risiken für KMU: Abmahnungen und kleine Bußgelder
Während die Millionenstrafen die Schlagzeilen dominieren, treffen die meisten Sanktionen kleine und mittelständische Unternehmen. Die Realität sieht so aus:
Typische Bußgelder für KMU
| Verstoß | Typisches Bußgeld | Beispiel |
|---|---|---|
| Google Fonts von Google-Servern | 5.000 - 10.000 EUR | Abmahnung + Unterlassungserklärung |
| Cookie-Banner ohne echte Wahl | 10.000 - 50.000 EUR | Beschwerde bei Aufsichtsbehörde |
| Fehlende Datenschutzerklärung | 5.000 - 25.000 EUR | Aufsichtsbehördliche Prüfung |
| Tracking ohne Consent | 10.000 - 50.000 EUR | Beschwerde durch Nutzer |
| Fehlende SSL-Verschlüsselung | 5.000 - 20.000 EUR | Meldung an Behörde |
| Nicht beantwortete Auskunftsanfrage | 5.000 - 15.000 EUR | Beschwerde des Betroffenen |
Die Abmahnwelle
Neben behördlichen Bußgeldern gibt es das Risiko zivilrechtlicher Abmahnungen. Seit dem LG-München-Urteil zu Google Fonts (2022) sind Maßenabmahnungen ein lukratives Geschäftsmodell geworden. Typische Abmahnkosten:
- Anwaltskosten: 500 - 1.500 EUR pro Abmahnung
- Schadensersatz: 100 - 500 EUR pro Betroffenen (Art. 82 DSGVO)
- Unterlassungserklärung: Bindet dich langfristig — bei Verstoß drohen Vertragsstrafen von 5.000 EUR und mehr
DSGVO-Beschwerden bei der Aufsichtsbehörde
Jede Person kann kostenlos Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einreichen (Art. 77 DSGVO). Und die Behörden sind verpflichtet, jede Beschwerde zu prüfen. In der Praxis führt das häufig zu:
- Aufforderung zur Stellungnahme
- Anordnung zur Beseitigung des Verstoßes (mit Frist)
- Bei Nichtbeachtung: Bußgeld
So schützt du dich vor Bußgeldern und Abmahnungen
Technische Maßnahmen
- Cookie-Banner mit Script-Blocking: Tracking-Scripts dürfen erst nach Einwilligung laden. Ein reiner Hinweis-Banner reicht nicht aus.
- SSL/TLS-Verschlüsselung: HTTPS ist Pflicht. Ohne Verschlüsselung drohen sowohl DSGVO-Bußgelder als auch Abmahnungen.
- Lokales Hosting externer Ressourcen: Google Fonts, Icon-Libraries und andere externe Ressourcen lokal einbinden.
- Regelmäßige Security-Updates: Veraltete Software ist ein häufiger Grund für Datenpannen.
- Automatisiertes Monitoring: Neue Tracker und Cookies können durch Plugins, Theme-Updates oder Drittanbieter jederzeit auftauchen.
Organisatorische Maßnahmen
- Datenschutzerklärung aktuell halten: Jede Änderung an der Website (neues Plugin, neues Tool) muss sich in der Datenschutzerklärung widerspiegeln.
- Verarbeitungsverzeichnis führen: Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten — auch für Websites.
- AVV mit allen Dienstleistern: Für jeden externen Dienst, der personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag.
- Auskunftsanfragen zeitnah beantworten: Ein Monat Frist — wer die verstreichen lässt, riskiert Bußgelder.
- Mitarbeiter schulen: Besonders wenn mehrere Personen Zugang zur Website oder zu Kundendaten haben.
Dokumentation als Schutzschild
Art. 5 Abs. 2 DSGVO enthält die Rechenschaftspflicht: Du musst nachweisen können, dass du die DSGVO einhältst. Eine gute Dokumentation kann im Ernstfall Bußgelder deutlich reduzieren:
- Verarbeitungsverzeichnis
- Dokumentierte TOM (technische und organisatorische Maßnahmen)
- Consent-Nachweise (wann hat wer zugestimmt?)
- Regelmäßige Compliance-Prüfungen (Scan-Berichte)
Praxis-Checkliste: Bußgelder vermeiden
- Cookie-Banner prüfen: Echte Wahlmöglichkeit, Reject-Button gleichwertig sichtbar?
- Alle Tracking-Scripts erst nach Consent laden (Script-Blocking aktiv)?
- Datenschutzerklärung vollständig und aktuell?
- Google Fonts und andere externe Ressourcen lokal eingebunden?
- SSL/TLS-Verschlüsselung aktiv (HTTPS)?
- AVV mit allen Dienstleistern abgeschlossen?
- Verarbeitungsverzeichnis vorhanden und aktuell?
- Prozess für Auskunfts- und Löschanfragen etabliert?
- Datenschutzbeauftragter bestellt (falls Pflicht)?
- Regelmäßige automatisierte Compliance-Scans durchführen?
- Security-Headers konfiguriert (HSTS, X-Content-Type-Options, X-Frame-Options)?
- Dokumentation der DSGVO-Maßnahmen für den Nachweis im Ernstfall?
Deine Website automatisch prüfen
Die meisten Bußgelder entstehen durch Verstöße, die leicht vermeidbar gewesen wären — fehlende Cookie-Consent-Mechanismen, externe Schriftarten, versteckte Tracker. Der Compliso Scanner prüft deine Website automatisch auf 30 DSGVO-relevante Kriterien, darunter:
- Cookie-Banner mit Reject-Button-Prüfung
- Tracking-Scripts vor Consent
- Externe Verbindungen (Google Fonts, CDNs, Social Media)
- Security-Headers und SSL-Konfiguration
- Drittanbieter-Cookies und deren Laufzeiten
Scanne deine Website jetzt kostenlos und finde heraus, welche konkreten Risiken auf deiner Seite bestehen — bevor es die Aufsichtsbehörde tut.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.